Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 1 subscriber
  • Views 6831 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webfilter is ignoring policies

Dozer
Hi all,

UTM Ver:  9.209-8

I have an issue where the webfilter seems to be ignoring policies...

I have AD authentication working correctly and webfilter test shows that the end user is triggering the correct policy, yet when looking at the logs, the web request falls through the filter and the base "block all" policy is being applied.

This is under the "global" policy.
Authentication is via AD SSO (windows PC's).

If I allow a particular website in the base Block all policy then it's accessible as this policy is being applied instead of the one further up the chain.
This appears to be for all users.

Any ideas what's going wrong here ?

EDIT: I've attached some screenshots...

Doz [:S]


This thread was automatically locked due to age.
Parents
  • 0
    There are four parts to authentication.

    A) The UTM talking to the AD server to get usernames, group membership, etc.

    B) The UTM talking to the AD server to do password verification.

    C) The UTM talking to the client browser to do authentication (NTLM SSO in your case).

    D) The UTM matching the logged in user name with the user name or group configured in a policy.


    I suspect that B) and C) are working correctly given the username appears in the log.

    It "feels like" more of a issue of matching the correctly identified user with their membership (D).

    I would go to Definitions and Users \ Authentication Services.  Remove and re-add your AD server, make sure it is at the top and that the Base DN is set.  If you have things like an AD forest, see if you can simplify to get things working.

    Under Users and Groups.  Delete any AD users you have here, make sure you don't have any local user called "test".

    Then under the policies, recreate the policy first using the pre-created group "Active Directory Users".  Log in with any AD user.  Then if that works, create a Group within the UTM that has a backend sync to AD with a group.  Then if that works, use a UTM Group matching to an AD User.  Then if you really want, go and create a UTM User making sure that it is remote authentication with backend sync.

    As much as possible use the picker rather than manually entering in DN.

    Note: I am *not* an expert in this area and my steps might not work.  But I suspect this is at least the right area of the problem.  Work with Sophos Support.
Reply
  • 0
    There are four parts to authentication.

    A) The UTM talking to the AD server to get usernames, group membership, etc.

    B) The UTM talking to the AD server to do password verification.

    C) The UTM talking to the client browser to do authentication (NTLM SSO in your case).

    D) The UTM matching the logged in user name with the user name or group configured in a policy.


    I suspect that B) and C) are working correctly given the username appears in the log.

    It "feels like" more of a issue of matching the correctly identified user with their membership (D).

    I would go to Definitions and Users \ Authentication Services.  Remove and re-add your AD server, make sure it is at the top and that the Base DN is set.  If you have things like an AD forest, see if you can simplify to get things working.

    Under Users and Groups.  Delete any AD users you have here, make sure you don't have any local user called "test".

    Then under the policies, recreate the policy first using the pre-created group "Active Directory Users".  Log in with any AD user.  Then if that works, create a Group within the UTM that has a backend sync to AD with a group.  Then if that works, use a UTM Group matching to an AD User.  Then if you really want, go and create a UTM User making sure that it is remote authentication with backend sync.

    As much as possible use the picker rather than manually entering in DN.

    Note: I am *not* an expert in this area and my steps might not work.  But I suspect this is at least the right area of the problem.  Work with Sophos Support.
Children
No Data